前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的医院信息安全保护制度主题范文,仅供参考,欢迎阅读并收藏。
清晰明了等级保护制度
毕马宁认为要开展信息安全等级保护工作,首先应该弄明白什么是等级保护,“等级保护是我们国家以法律形式固定下来的一个关于国家信息安全保障体系建设和保护关键基础设施的基本国家制度”,而信息安全等级保护制度的法律依据则是1994年国务院的《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)。
其次,还应该明白信息安全等级保护的等级概念。“等级保护简单地说,等级是手段,目的是保护”,而等级的划分是根据信息系统在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度,将信息系统划分为不同的安全保护等级并对其实施不同的保护和监管。毕马宁强调:“信息系统的重要程度不是由系统的技术性所决定,而是由这个系统的社会属性所决定的。”比如,同样是财务系统,银行的财务系统与某小型企事业单位的财务系统所承载的应用对社会秩序、国家安全的影响是不一样的,一旦遭到破坏,银行财务系统对社会秩序和国家安全的负面影响更重大。“所以,原卫生部才会要求全国的三级甲等医院的核心系统通过第三级测评。”他说。
一体之两翼
其实信息安全等级保护并非我国独创,而是借鉴国际已有的信息安全风险管理理论和方法,并结合我国信息安全管理的特色,制定的具有中国特色的信息安全等级保护制度。现阶段整个人民生活、社会运行,包括政府的运行,都跟信息化密不可分。信息化已经从原来的辅助作用变成支撑作用,成为机构、企业发展,获得价值或者改善自身生存,为社会做贡献的一个利器、一个支撑平台。“正如所说的,一个国家的发展,一个民族的发展,需要‘一体两翼’,‘一体’是发展;‘两翼’,则是信息化和信息安全保障。想要发展就缺一不可。”毕马宁说,“等级保护制度是对信息系统做风险控制,是一种国家风险管理行为。可以说等级保护制度就是国家风险管控手段。它虽然不能完全保证信息系统不出事,但起码能够保证信息系统少出事,或者是风险可控的,而且一旦出了事我们知道如何去应对。”
等级测评工作的目的和意义
等级保护是要通过定级、备案、建设整改来提升信息系统安全防护能力,安全建设整改工作完成后,如何检验效果?这就是等级测评工作的目的和意义。等级测评是检测评估信息系统安全保护状况是否达到相应等级能力要求的过程,是落实信息安全等级保护制度的重要环节。
毕马宁认为,“等级测评是等级保护工作推进过程中的一项能力技术判断活动,它是一个必备的环节。”他还建议:“不要把等级测评工作当作是考试,应该是把等级保护工作重点放在准确定级、建设整改上,逐步提升信息系统的安全防护能力,通过等级测评来发现自己的问题,再明确下一步的方向,这是最关键的。”
等级测评工作也可以在定级备案之后,安全建设或整改之前开展,因为“公安机关赋予了等级测评机构提供咨询的权利和义务,可以站在用户的角度帮他们做咨询服务”,毕马宁解释:“作为评估中心,我们不仅要发现问题,还要跟用户共同商量解决问题,这也是服务型政府的一个特点。”
对医疗卫生行业信息安全等级保护工作的建议
(1)物理安全防范较为重视。从物理安全的五项指标来看,被调查的160家医院都非常注重防盗、防水、防雷、防尘、防静电及温湿度控制等物理环境安全防范,绝大部分医院对物理访问控制与物理监控(机房设备管理)也都很重视,分别达到93%与85%,但仅有1/4的医院注重设备检测,说明中国绝大部分医院设备或未做检测即投入运行,或缺乏定期进行安全评估、安全加固等保护,因而我国数字化医院还存在着一定的物理设备安全风险。
(2)系统安全威胁严重。系统安全四项指标中,采用了访问控制及备份与恢复措施的医院分别达到138家与147家,但实地调查显示非授权访问的情况还大量存在。进行系统日志审计的医院不足50家,说明我国医院系统日志还基本流于形式,缺乏深度安全审计,从而很难及时发现其中的安全隐患。进行系统开发与维护的医院也仅54家,原因主要在于目前许多医院由于受人员、设备、资金影响,或本身重视不够,导致其信息系统缺乏运营维护或维护不及时,因此其安全性和可靠性多数处于较差状态。
(3)网络通信安全较为脆弱。网络通信安全五项指标中,网络攻击防护与业务文档记录方面,医院相对比较重视,比例分别达到94%与84%,但实地调查发现其网络攻击防护还处于低水平状态。实行网络隔离与访问控制的医院仅占30%,大多数医院网络访问随意性大,医院网络可随意互访,信息流通和共享畅通无阻,这给医院信息安全带来极大的安全隐患。实行入侵检测的医院不到30%,说明中国数字化医院还处于被动防御阶段,远未达到主动防御水平,同时信息系统的纵深防护水平不高,由此导致数字化医院以计算机病毒、黑客攻击等为代表的安全事件频繁发生。实行密钥管理的医院则仅13%,说明医院网络密钥其实几乎还处于无人监管状态。
(4)人员安全隐患重重。人员安全四项指标调查结果都不容乐观,尤其是进行第三方合作合同的控制和管理的医院仅占10%,说明中国数字化医院在人员安全管理方面还远未重视,由此导致医院内部存在大量网络操作违规现象。如,网络操作人员随意将自己的登录账号转借他人,随意将一些存储介质接入信息系统,未经授权同时访问外网与内网,一些人员为了谋取个人私利,非法访问内部网络,窃取、伪造、篡改医疗数据等,这使得中国数字化医院信息安全事故频频发生。
(5)组织管理安全有待加强。组织管理安全四项指标中,160家医院都设置了安全管理组织机构,说明所有医院都很重视信息安全管理工作,但安全管理制度完整的医院仅114家,且多数在应急管理制度制定方面较为欠缺,而安全管理制度实施情况调查显示,只有40%的医院安全管理制度得到实施,这意味着60%的医院的安全管理制度形同虚设。在人力财力保障方面给予充分保障的医院不到50%,由于缺乏人力财力的保障,目前许多医院信息安全系统建设难以为继。综上所述,中国数字化医院还存在着极大的信息安全隐患。因此,数字化医院信息安全建设已迫在眉睫。
2动态网络安全模型的比较分析
面对复杂多样的信息安全风险以及日益严峻的信息安全局势,动态网络安全模型为中国数字化医院信息安全建设提供了理论基础。典型的动态网络安全模型有PPDR模型、PDRR模型、MPDRR模型和WPDRRC模型等,这些安全模型各有特点,各有侧重,已广泛应用于多个领域的信息安全建设实践。环节。它强调在安全策略的指导下,综合采用防火墙、VPN等安全技术进行防护的同时,利用入侵检测系统等检测工具,发现系统的异常情况,以及可能的攻击行为,并通过关闭端口、中断连接、中断服务等响应措施将系统调整到一个比较安全的状态。其中,安全策略是核心,防护、检测和响应环节组成了一个完整、动态的安全循环,它们共同保证网络系统的信息安全。(2)PDRR模型。PDRR模型是在PPDR模型基础上增加恢复(Recovery)环节发展而来,由防护(Protection)、检测(Detection)、响应(Re-sponse)和恢复(Recovery)四个环节组成(见图2)。其核心思想是在安全策略的指导下,通过采取各种措施对需要保护的对象进行安全防护,并随时进行安全跟踪和检测以了解其安全状态,一旦发现其安全受到攻击或存在安全隐患,则马上采取响应措施,直至恢复安全保护对象的安全状态。与PPDR模型相比,PDRR模型更强调一种故障的自动恢复能力,即系统在被入侵后,能迅速采取相应措施将系统恢复到正常状态,从而保障系统的信息安全。因此,PDRR模型中的安全概念已经从信息安全扩展到了信息保障,信息保障内涵已超出传统的信息安全保密,是防护、检测、响应、恢复的有机结合。
3基于动态网络安全模型的中国数字化医院信息安全体系构建
结合动态网络安全模型,并依据《信息安全技术信息系统安全等级保护基本要求》(GB/T22239—2008)、《信息安全技术信息系统等级保护安全设计技术要求》(GB/T25070—2010)等标准规范,本文试构建一个以信息安全组织机构为核心,以信息安全策略、信息安全管理、信息安全技术为维度的数字化医院信息安全体系三维立体框架。即,在进行数字化医院信息安全建设时,我们应成立一个信息安全组织机构,并以此为中心,通过制定信息安全总体策略、加强信息安全管理,利用各项信息安全技术,并将其贯彻在预警、保护、检测、响应、恢复和反击6个环节中,针对不同的安全威胁,采用不同的安全措施,从而对系统物理设备、系统软件、数据信息等受保护对象进行全方位多层次保护。
(1)信息安全组织机构是数字化医院信息安全体系构成要素中最重要的因素,在信息安全体系中处于核心地位。它由决策机构、管理机构与执行机构三部分组成。其中,决策机构是医院信息安全工作的最高领导机构,负责对医院信息安全工作进行总体规划与宏观领导,其成员由医院主要领导及其他相关职能部门主要负责人组成。管理机构在决策机构的领导下,负责信息安全体系建设规划的制定,以及信息安全的日常管理工作,其成员主要来自于信息化工作部门,也包括行政、人事等部门相关人员参与。执行机构在管理机构的领导下,负责保证信息安全技术的有效运行及日常维护,其成员主要由信息化工作部门相关技术人员及其他相关职能部门的信息安全员组成。信息安全组织机构应对医院信息安全工作进行科学规划,经常进行不定期的信息安全检查、评估和应急安全演练。其中对那些严重危及医院信息安全的行为应进行重点管理和监督,明确信息安全责任制,从而保证信息安全各项工作的有效贯彻与落实。
(2)信息安全策略是数字化医院信息安全得以实现的基础。其具体制定应依据国家信息安全战略的方针政策、法律法规,遵循指导性、原则性、可行性、动态性等原则,按照医疗行业标准规范要求,并结合医院自身的具体情况来进行,由总体方针与分项策略两个层次组成,内容涵盖技术层、管理层等各个层面的安全策略,最终实现“进不来、拿不走、看不懂、改不了、逃不掉”的安全防御目的,即在访问控制机制方面做到“进不来”、授权机制方面做到“拿不走”、加密机制方面做到“看不懂”、数据完整性机制方面做到“改不了”、审计/监控/签名机制方面做到“逃不掉”。
(3)信息安全管理是数字化医院信息安全得以实现的保障。它包括人员管理、技术管理和操作管理等方面。当前中国数字化医院在信息安全管理中普遍存在的问题:在安全管理中对人的因素重视不够、缺乏懂得管理的信息安全技术人员、信息安全意识不强、员工接受的教育和培训不够、安全管理中被动应付的较多等。因此,数字化医院一方面应加强全员信息安全意识,加大信息安全人员的引进、教育与培训力度,提高信息安全管理水平;另一方面应制定具体的信息安全管理制度,以规范与约束相关人员行为,保证信息安全总体策略的贯彻与信息安全技术的实施。
(4)信息安全技术是数字化医院信息安全得以实现的关键。数字化医院信息安全建设涉及防火墙、防病毒、黑客追踪、日志分析、异地容灾、数据加密、安全加固和紧急响应等技术手段,它们贯穿于信息安全预警、保护、检测、响应、恢复与反击六个环节。数字化医院应切实加强这六个环节的技术力量,确保其信息安全得以实现,具体体现在:①预警。医院应通过部署系统监控平台,实现对路由器、交换机、服务器、存储、加密机等系统硬件、操作系统和数据库等系统软件以及各种应用软件的监控和预警,实现设备和应用监控预警;或采用入侵防御系统,分析各种安全报警、日志信息,结合使用网络运维管理系统,实现对各种安全威胁与安全事件的预警;并将这些不同层面的预警,统一到一套集中的监控预警平台或运维管理平台,实现统一展现和集中预警。②保护。主要包括物理安全、系统安全与网络通信安全等方面的安全保护。对于中心机房、交换机、工作站、服务器等物理设备的安全防护,主要注意防水、防雷、防静电以及双机热备等安全防护工作。系统安全主要包括操作系统与数据库系统等的安全防护。操作系统的主要风险在于系统漏洞和文件病毒等。为此,医院需运用防火墙技术控制和管理用户访问权限,并定期做好监视、审计和事件日志记录和分析。所有工作站应取消光驱软驱,屏蔽USB接口,同时为各个客户端安装杀毒软件,并及时更新,从源头上预防系统感染病毒。数据库安全涉及用户安全、数据保密与数据安全等。为此,需对数据库进行权限设置。对于关键数据,应进行加密存储。对于重要数据库应做好多种形式的备份工作,如本地备份与异地备份、全量备份与增量备份等,以保证数据万无一失。对于网络通信安全防护,医院网络应采用物理隔离的双网架构,如果内网确需开展对外的WWW等服务,应单独设置VLAN,结合防火墙设备,通过设置DMZ的方式实现与外界的安全相连。同时,医院应合理的设置网络使用权限,严格进行用户网络密码管理,防止越权操作。③检测。检测是从监视、分析、审计信息网络活动的角度,发现对于信息网络的攻击、破坏活动,提供预警、实时响应、事后分析和系统恢复等方面的支持,使安全防护从单纯的被动防护演进到积极的主动防御。前述防护系统能阻止大部分入侵事件的发生,但是它不能阻止所有的入侵。因此安全策略的另一个重要屏障就是检测。常用工具是入侵检测系统(IDS)和漏洞扫描工具。利用入侵检测系统(IDS)对医院系统信息安全状况进行实时监控,并定期查看入侵检测系统生成的报警日志,可及时发现信息系统是否受到安全攻击。而通过漏洞扫描工具,可及时检测信息系统中关键设备是否存在各种安全漏洞,并针对漏洞扫描结果,对重要信息系统及时进行安全加固。④响应。主要包括审计跟踪、事件报警、事件处理等。医院应在信息系统中部署安全监控与审计设备以及带有自动响应机制的安全技术或设备,当系统受到安全攻击时能及时发出安全事故告警,并自动终止信息系统中发生的安全事件。为了确保医院正常的医疗服务和就医秩序,提高医院应对突发事件的能力,医院还应成立信息安全应急响应小组,专门负责突发事件的处理,当医院信息系统出现故障时,能迅速做出响应,从而将各种损失和社会影响降到最低。其他事件处理则可通过咨询、培训和技术支持等得到妥善解决。⑤恢复。主要包括系统恢复和信息恢复两个方面。系统恢复可通过系统重装、系统升级、软件升级和打补丁等方式得以实现。信息恢复主要针对丢失数据的恢复。数据丢失可能来自于硬件故障、应用程序或数据库损坏、黑客攻击、病毒感染、自然灾害或人为错误。信息恢复跟数据备份工作密切相关,数据备份做得是否充分影响到信息恢复的程度。在信息恢复过程中要注意信息恢复的优先级别。直接影响日常生活和工作的信息必须先恢复,这样可提高信息恢复的效率。另外,恢复工作中如果涉及机密数据,需遵照机密系统的恢复要求。⑥反击。医院可采用入侵防御技术、黑客追踪技术、日志自动备份技术、安全审计技术、计算机在线调查取证分析系统和网络运维管理系统等手段,进行证据收集、追本溯源,实现医院网络安全系统遭遇不法侵害时对各种安全威胁源的反击。
4结束语
关键词:互联网+医疗信息安全问题
国家文件《国务院关于积极推进“互联网+”行动的指导意见》,进一步对“互联网+”在医疗领域的建设和运用提出了指导性的意见和严格的要求。因此,在构建信息化医院时,医院相关人员要对医疗信息的安全问题进行具体的分析。
一、互联网+医疗模式下医疗信息现状
1.患者移动服务中的泄露风险
在信息化的医院和医疗中,患者可以通过微信公众号、支付宝服务号、APP、网站等渠道进行预约挂号、缴费咨询等,而挂号、缴费、就诊卡都需要实名制。在这个过程中,网页弹窗、小广告、流氓网站、钓鱼网站层出不穷,患者操作时稍不注意就可能陷入网络陷阱,造成人身或者经济的损失。
我国不同地区的经济水平、医疗水平存在一定的差异性,当一些相对落后地区的患者通过网络平台向高级医院求助时,在信息传递的过程中,可能发生信息泄漏,这很难追究问题的根源。再加上从业人员能力参差不齐,更有甚者为了利益贩卖患者的信息,这都对医疗信息的安全性造成了威胁。
2.远程医疗中的泄露风险
远程医疗是指远距离对患者进行医学诊疗,它打破了空间的限制,不仅方便了患者及时就诊,还有利于优质医疗资源的配置。但在进行远程医疗服务的同时,患者的病例和个人信息都需要通过互联网进行传输,医生与患者之间的沟通需要通过视频通话,这很容易造成通信信息被记录、篡改或者遭到拦截,患者的医学影像、病例、化验单等信息遭到拷贝,整个过程都存在泄漏信息安全的隐患。
3.移动医疗设备使用中的泄露风险
随着科技的发展,一些移动医疗设备随之产生,类似于健康手环、血糖仪、血压仪、慢性病监测设备等。其中,健康手环会对佩戴者进行实时监控,在整个过程中信息会通过网络传输到手机上。此时,如果遭到网络黑客的恶意篡改和监视,佩戴者的行程、位置、个人信息等信息就会一览无余地呈现在不法分子面前,严重危害人们的安全。
二、相关策略
1.增强信息系统安全性
首先,医院和相关医疗部门应加大资金和技术人员的投入,组建信息安全部门,及检查网络安全情况,对平台漏洞进行监控和修复,建立网络防火墙,阻止不法分子的网络攻击和病毒入侵;其次,医院要保护好自己的数据库,配备专业的数据库安全产品,设定安全访问的规则,限制非授权的访问;最后,客户端要安装专业的网络杀毒软件,并且定时扫描和更新终端设备,提高医疗信息的安全性,为信息化的医疗服务提供网络安全技术支持,为患者的个人信息保驾护航。
2.加强相应的管理
互联网医疗机构要遵守法律法规,按照《網络安全法》和行业标准进行发展和管理,因为医疗信息的安全离不开法律的支持和医院的管理。
第一,医院要提高相关工作人员的专业能力和信息保护意识,保护医院和患者的隐私。同时,医院要建立相关的规章制度,严格约束从业人员,提高从业人员的自我约束能力和信息安全管理的责任心。
第二,医院要向患者公开信息安全保护的相关规定,要求患者保护个人信息。医疗信息具有巨大的商业价值,患者只有妥善保管,才能保证信息免遭泄漏。
第三,医院要把握好公开信息和隐私信息之间的平衡,不能一概而论地公开信息,也不能毫无余地地保密信息。信息化的智能医院就是利用互联网互联互通和信息开放的特点,保护病患的信息安全,所以在保护医疗信息时,医院要避免绝对化,把握好尺度。
关键词:等级保护;网络安全;信息安全;安全防范
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2014)19-4433-03
随着我国国际地位的不断提高和经济的持续发展,我国的网络信息和重要信息系统面临越来越多的威胁,网络违法犯罪持续大幅上升,计算机病毒传播和网络非法入侵十分猖獗,犯罪分子利用一些安全漏洞,使用木马间谍程序、网络钓鱼技术、黑客病毒技术等技术进行网络诈骗、网络盗窃、网络赌博等违法犯罪,给用户造成严重损失,因此,维护网络信息安全的任务非常艰巨、繁重,加强网络信息安全等级保护建设刻不容缓。
1 网络信息安全等级保护
信息安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。网络信息安全等级保护体系包括技术和管理两大部分,如图1所示,其中技术要求分为数据安全、应用安全、网络安全、主机安全、物理安全五个方面进行建设。
图1 等级保护基本安全要求
1) 物理安全
物理安全主要涉及的方面包括环境安全(防火、防水、防雷击等)设备和介质的防盗窃防破坏等方面。
2) 主机安全
主机系统安全是计算机设备(包括服务器、终端/工作站等)在操作系统及数据库系统层面的安全;通过部署终端安全管理系统(TSM),准入认证网关(SACG),以及专业主机安全加固服务,可以实现等级保护对主机安全防护要求。
3) 网络安全
网络是保障信息系统互联互通基础,网络安全防护重点是确保网络之间合法访问,检测,阻止内部,外部恶意攻击;通过部署统一威胁管理网关USG系列,入侵检测/防御系统NIP,Anti-DDoS等网络安全产品,为合法的用户提供合法网络访问,及时发现网络内部恶意攻击安全威胁。
4) 应用安全
应用安全就是保护系统的各种应用程序安全运行,包括各种基本应用,如:消息发送、web浏览等;业务应用,如:电子商务、电子政务等;部署的文档安全管理系统(DSM),数据库审计UMA-DB,防病毒网关AVE等产品。并且通过安全网关USG实现数据链路传输IPSec VPN加密,数据灾备实现企业信息系统数据防护,降低数据因意外事故,或者丢失给造成危害。
5) 数据安全
数据安全主要是保护用户数据、系统数据、业务数据的保护;通过对所有信息系统,网络设备,安全设备,服务器,终端机的安全事件日志统一采集,分析,输出各类法规要求安全事件审计报告,制定标准安全事件应急响应工单流程。
2 应用实例
近年来卫生行业全面开展信息安全等级保护定级备案、建设整改和等级测评等工作,某医院的核心系统按照等级保护三级标准建设信息系统安全体系,全面保护医院内网系统与外网系统的信息安全。
医院网络的安全建设核心内容是将网络进行全方位的安全防护,不是对整个系统进行同一等级的保护,而是针对系统内部的不同业务区域进行不同等级的保护;通过安全域划分,实现对不同系统的差异防护,并防止安全问题扩散。业务应用以及基础网络服务、日常办公终端之间都存在一定差异,各自可能具有不同的安全防护需求,因此需要将不同特性的系统进行归类划分安全域,并明确各域边界,分别考虑防护措施。经过梳理后的医院网络信息系统安全区域划分如图2所示,外网是一个星型的快速以太交换网,核心为一台高性能三层交换机,下联内网核心交换机,上联外网服务器区域交换机和DMZ隔离区,外联互联网出口路由器,内网交换机向下连接信息点(终端计算机),外网核心交换机与内网核心交换机之间采用千兆光纤链路,内网交换机采用百兆双绞线链路下联终端计算机,外网的网络安全设计至关重要,直接影响到等级保护系统的安全性能。
图 2 医院网络信息系统安全区域划分图
2.1外网网络安全要求
系统定级为3级,且等级保护要求选择为S3A2G3,查找《信息系统安全等级保护基本要求》得到该系统的具体技术要求选择,外网网络安全要求必须满足如下要求:边界完整性检查(S3) 、入侵防范(G3) 、结构安全(G3) 、访问控制(G3) 、安全审计(G3) 、恶意代码防范(G3) 和网络设备防护(G3) 。
2.2网络安全策略
根据对医院外网机房区域安全保护等级达到安全等级保护3级的基本要求,制定相应的网络安全策略
1) 网络拓扑结构策略
要合理划分网段,利用网络中间设备的安全机制控制各网络间的访问。要采取一定的技术措施,监控网络中存在的安全隐患、脆弱点。并利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。
2) 访问控制策略
访问控制为网络访问提供了第一层访问控制,它控制哪些用户能够连入内部网络,那些用户能够通过哪种方式登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。
3) 网络入侵检测策略
系统中应该设置入侵检测策略,动态地监测网络内部活动并做出及时的响应。
4) 网络安全审计策略
系统中应该设置安全审计策略,收集并分析网络中的访问数据,从而发现违反安全策略的行为。
5) 运行安全策略
运行安全策略包括:建立全网的运行安全评估流程,定期评估和加固网络设备及安全设备。
2.3网络安全设计
根据对医院外网安全保护等级达到安全等级保护3级的基本要求,外网的网络安全设计包括网络访问控制,网络入侵防护,网络安全审计和其他安全设计。
1) 网络访问控制
实现以上等级保护的最有效方法就是在外网中关键网络位置部署防火墙类网关设备,采用一台天融信网络卫士猎豹防火墙、一台CISCO公司的PIX515和一台网络卫士入侵防御系统TopIDP。
①外网互联网边界防火墙:在局域网与互联网边界之间部署CISCO公司的PIX515百兆防火墙,该防火墙通过双绞线连接核心交换区域和互联网接入区域,对外网的互联网接入提供边界防护和访问控制。
②对外服务区域边界防火墙:对外服务区域与安全管理区域边界部署一台千兆防火墙(天融信NGFW4000-UF),该防火墙通过光纤连接核心交换机和对外服务区域交换机,通过双绞线连接区域内服务器,对其他区域向对外服务区域及安全管理区域的访问行为进行控制,同时控制两个区域内部各服务器之间的访问行为。
③网络入侵防御系统:在托管机房区域边界部署一台网络入侵防御系统,该入侵防御系统通过双绞线连接互联网出口设备和区域汇聚交换机,为托管机房区域提供边界防护和访问控制。
2) 网络入侵防护
外网局域网的对外服务区域,防护级别为S2A2G2,重点要实现区域边界处入侵和攻击行为的检测,因此在局域网的内部区域边界部署网络入侵检测系统(天融信网络入侵防御系统TopIDP);对于外网托管机房的网站系统,防护级别为S3A2G3,由于其直接与互联网相连,不仅要实现区域边界处入侵和攻击行为的检测,还要能够有效防护互联网进来的攻击行为,因此在托管机房区域边界部署网络入侵防御系统(启明星辰天阗NS2200)。
①网络入侵防御系统:在托管机房区域边界部署一台采用通明模式的网络入侵防御系统,该入侵防御系统通过双绞线连接互联网出口设备和区域汇聚交换机,其主要用来防御来自互联网的攻击流量。
②网络入侵检测系统:在外网的核心交换机上部署一台千兆IDS系统,IDS监听端口类型需要和核心交换机对端的端口类型保持一致;在核心交换机上操作进行一对一监听端口镜像操作,将对外服务区域与核心交换区域之间链路,以及互联网接入区域与核心交换区域之间链路进出双方向的数据流量,镜像至IDS监听端口;IDS用于对访问对外服务区域的数据流量,访问安全管理区域的数据流量,以及访问互联网的数据流量进行检测。
3) 网络安全审计
信息安全审计管理应该管理最重要的核心网络边界,在外网被审计对象不仅仅包括对外服务区域中的应用服务器和安全管理区域的服务器等的访问流量,还要对终端的互联网访问行为进行审计;此外重要网络设备和安全设备也需要列为审计和保护的对象。
由于终端的业务访问和互联网访问都需要在网络设备产生访问流量,因此在外网的核心交换机上部署网络行为审计系统(天融信网络行为审计TopAudit),交换机必需映射一个多对一抓包端口,网络审计引擎通过抓取网络中的数据包,并对抓到的包进行分析、匹配、统计,从而实现网络安全审计功能。
①在外网的核心交换机上部署一台千兆网络安全审计系统,监听端口类型需要和核心交换机对端的端口类型保持一致,使用光纤接口;
②在核心交换机上操作进行一对一监听端口镜像操作,将对外服务区域与核心交换区域之间链路,以及互联网接入区域与核心交换区域之间链路进出双方向的数据流量,镜像至网络安全审计系统的监听端口;
③网络安全审计系统用于对访问对外服务区域的数据流量,访问安全管理区域的数据流量,以及访问互联网的数据流量进行安全审计;
④开启各区域服务器系统、网络设备和安全设备的日志审计功能。
4) 其他网络安全设计
其他网络安全设计包括边界完整性检查,恶意代码防范,网络设备防护,边界完整性检查等。
①边界完整性检查:在托管机房的网络设备上为托管区域服务器划分独立VLAN,并制定严格的策略,禁止其他VLAN的访问,只允许来自网络入侵防御系统外部接口的访问行为;对服务器系统进行安全加固,提升系统自身的安全访问控制能力;
②恶意代码防范:通过互联网边界的入侵防御系统对木马类、拒绝服务类、系统漏洞类、webcgi类、蠕虫类等恶意代码进行检测和清除;部署服务器防病毒系统,定期进行病毒库升级和全面杀毒,确保服务器具有良好的防病毒能力。
③网络设备防护:网络设备为托管机房单位提供,由其提供网络设备安全加固服务,应进行以下的安全加固:开启楼层接入交换机的接口安全特性,并作MAC绑定; 关闭不必要的服务(如:禁止CDP(Cisco Discovery Protocol),禁止TCP、UDP Small服务等), 登录要求和帐号管理, 其它安全要求(如:禁止从网络启动和自动从网络下载初始配置文件,禁止未使用或空闲的端口等)。
3 结束语
信息安全等级保护是实施国家信息安全战略的重大举措,也是我国建立信息安全保障体系的基本制度。作为国家信息安全保障体系建设的重要依据,在实行安全防护系统建设的过程中,应当按照等级保护的思想和基本要求进行建设,根据分级、分域、分系统进行安全建设的思路,针对一个特定的信息系统(医院信息管理系统)为例,提出全面的等级保护技术建设方案,希望能够为用户的等级保护建设提出参考。
参考文献:
[1] 徐宝海.市县级国土资源系统信息网络安全体系建设探讨[J].中国管理信息化,2014(4).
[2] 李光辉.全台网信息安全保障体系初探[J].电脑知识与技术,2013(33).
一、当前医院人事档案信息化管理存在的主要问题
(一)重视程度不够。医院领导层对人事档案管理工作不重视,认为人事档案管理在医疗核心工作中起到间接辅助作用,不能直接为医院创造经济财富和社会效益;还有的领导甚至认为人事档案管理工作仅仅是人事部门的事情,因而没有加以重视,也没有在人力、物力、财力等方面对人事档案管理加大投入,致使人事档案管理长期处于维持现状和被动应付的状况,医院人事档案信息化建设也就无从谈起。(二)基础设施建设落后。目前许多医院的人事档案基础设施建设落后,还停留在纸质档案阶段,人事档案信息化程度不高,未能将现代化信息技术手段全面引入医院人事档案管理工作。(三)管理不规范。传统的医院人事档案管理方法局限于保管保存功能,利用率不高,实际工作中方法单一致使效率低下,现代化管理手段没有充分应用到人事档案管理工作中,明显滞后于医院各项工作的快速发展。随着人事制度改革的不断深入,档案材料的收集、保管、利用以及档案业务的范围也发生了变化,部分旧的管理制度不适应社会发展的需求,亟待进一步修订完善。(四)管理队伍不专业。档案管理人员需要具备过硬的政治素质和业务素质,还要具有爱岗敬业的职业素养。在人事档案管理信息化过程中,档案管理人员不仅要精通档案管理专业知识,还要能熟练掌握计算机和网络应用技能。当前,很多医院人事档案管理人员不能完全达到以上工作要求,需要进一步的学习和培训。
二、做好医院人事档案信息化管理的对策
(一)重视医院人事档案信息化管理工作。医院领导及组织人事部门要把人事档案管理工作放在事关医院人才队伍建设全局的高度来对待,加强人事档案管理基础设施建设,切实将其纳入重要议事日程。应着重加强人事档案管理工作人员的思想教育,完善医院的人事档案工作考核制度,体现多劳多得、优劳优酬,充分调动管档人员的工作积极性,提高工作效率。(二)提高医院人事档案信息化建设投入。医院提供一定的资金支持,更新硬件设备,如计算机、扫描仪、照相机等;提供技术支持,通过公开招标采构引入专业档案管理软件,来提高医院人事档案管理的信息化程度。同时加强医院人事档案管理安全措施,在软件应用的基础上加设防盗系统。(三)做好医院人事档案系统维护。主要包括以下方面:1.规范的录入规则和内容。在原始数据录入时应该建立统一规范的录入规则,所采集数据应针对实际工作需求,以免造成浪费,做到有用必录入,无关少录入,让人事档案管理系统便捷高效,清晰易懂。2.定期的日常维护。建立人事档案系统不是一件一劳永逸的事情,需要定期进行对于系统数据进行管理维护与更新。只有经常对系统进行维护才能确保医院人力资源系统的长期长效运用。3.档案的保存与管理。医院人事档案信息化管理是将数据保存在服务器中,同时将数据备份放置硬盘中,以防服务器出现问题。在人事档案的管理过程中不仅要依靠信息化系统,还要对于原始纸质档案进行妥善保存。做到实时系统、硬盘备份与原始材料三方的妥善保存与管理,防止各种意外情况的发生。4.落实安全保护措施。在服务器与客户端之间设置“防火墙”,定期修改服务器密码,针对相应管理人员的上岗、离岗情况签订保密协议,明确管理人员和工作人员申请、变更、注销权限等。严格执行保密规定,加强人事档案信息安全管理。在日常管理工作中,将人事档案信息安全纳入医院安全保护管理的范围。(四)加强信息化管理制度建设。应建立健全人事档案信息化管理制度,特别是要建立健全医院人事档案材料收集、整理、归档、保存等相关制度和人事档案计算机使用管理制度,严格落实,加强监管,明确各个岗位的工作范围及职责,规范档案管理人员行为。(五)建设一支高素质的档案管理队伍。要不断加强档案人员的政治素质、业务素质、工作作风等方面建设,通过业务学习、教育培训、外出进修等方式实现管档人员的基本理论、业务技能、工作水平的提升,努力建设一支政治强、业务精、作风好的高素质医院人事档案管理队伍。鼓励档案管理人员在工作中总结创新工作方法和途径,促进人事档案工作的不断发展。
三、结语
医院人事档案管理为医院人才培养、制定人力资源发展规划等工作提供了有力的信息支撑,是医院人力资源管理不可或缺的重要组成部分。新形势下进行人事档案管理改革势在必行,只有加快人事档案管理信息化建设,才能更好地提高医院档案管理工作的效率,才能推进人事档案管理的科学化和规范化进程。
作者: 单位:临沂市精神卫生中心
【参考文献】
飞速发展的社会经济将企业管理投入到信息技术的海洋之中,大中型企业管理的自动化水平正在不断提高。现代企业的核心管理手段是将计算机网络技术应用于业务管理系统,实现企业管理理念的宏观化、管理手段的智能化、管理方式的网络化,从而带来的是管理效率的高速化。具体的管理系统包括外门户网站系统、内部门户网站系统、办公自动化系统、营销管理系统、配网管理系统、财务管理系统、生产管理系统等[ 1 ]。
1 企业网络信息安全概述
1.1 网络信息安全面临的威胁
网络信息的安全主要是系统漏洞带来的病毒和黑客侵袭。漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统[ 2 ]。系统漏洞是危害网络安全的最主要因素,特别是软件系统的各种漏洞。黑客的攻击行为都是利用系统的安全漏洞来进行的。许多系统都有这样那样的安全漏洞(Bugs),其中有些是操作系统或应用软件由于设计缺陷本身所具有的,这些漏洞在补丁未被开发出来之前一般很难防御黑客的破坏,除非你不接入网络。还有就是程序员在设计一些功能复杂的程序时,预留的用于测试和维护的程序入口,由于疏忽或者其他原因(如将它留在程序中,便于日后访问、测试或维护)没有去掉,这就可能被一些黑客发现并利用作为后门。到目前为止,还没有出现真正安全无漏洞的产品,这也是当前黑客肆虐的主要原因[ 3 ]。
1.2 造成企业网络信息安全威胁的原因
1.2.1 计算机系统原生漏洞
目前计算机所依赖的依然是普遍通用的微软Windows系统。为了适应用户的需求,这一系统的研发进展不断进步,系统升级较为频繁,每两年左右便会有新系统推出面世。许多计算机用户,特别是企业用户,如果对新系统没有全面、专业、深入的了解而盲目进行了系统更新,有可能造成安装设置过程中缺陷导致的新系统带来的弊端,从而埋下漏洞隐患,给信息安全造成威胁。
1.2.2 计算机软件应用不当遭遇恶意软件
在企业管理计算机软件应用过程中,如果没有专业的识别和下载安装经验,极有可能遇到恶意软件。恶意软件常常故意不对用户做明确提示(如选项提示、退出安装提示等)或者在未经用户许可的情况下,在用户的计算机上强行安装;有的软件难以卸载(设置卸载障碍);还有的软件通过浏览器劫持行为,肆意:指未经用户许可,修改用户浏览器或设置,迫使用户访问特定网站或导致用户无法正常上网等。恶意软件造成的计算机病毒感染,黑客的乘虚而入将严重威胁企业网络信息安全,甚至导致系统崩溃,数据丢失。有的恶意软件甚至自带网络数据运行监视装置,被恶意使用后可以直接用于窃取商业数据和信息,给企业造成巨大损失。
1.2.3 企业网络信息系统维护规范欠缺
企业网络信息系统在运行过程中无论何种原因都难以避免可能产生的漏洞,而对信息系统的规范维护是信息安全保护的重要手段。但部分企业没有对系统维护规范作出规定,如系统维护工程师、助理工程师的职责与权限并不明确,生产或销售应用系统的监控记录不能定期建档,生产或办公系统主机的日常故障处理不做登记,应用系统的数据库启动情况和数据库设置得不到及时观察,重要数据库的变更操作,定期清理过期备份不能正常进行,应用数据库瘫痪后的异地备份恢复记录不完整等,都有可能造成企业网络信息系统的安全隐患。
2 企业信息系统安全管理存在的问题
2.1 企业对信息系统管理重视不足
许多企业顶层决策缺乏长久观念,比较重视信息网络的建设而较易忽视信息网络和系统的管理。在企业网络建设初期往往偏重于硬件设施的投资和技术成本的投入,盲目追求管理系统的高性能、高配置,忽略了硬件设施与实际应用的差距,认为高层次的网络系统一旦建成便万事大吉。这种认识不但造成了不必要的资金浪费,更容易形成轻视系统维护管理工作的状况。由于缺乏管理意识,许多企业在规章制度、人事安排、专业培训、技术队伍等几方面没有形成企业信息系统的专业团队,更没有针对系统瘫痪、数据丢失等突发事件的应急预案,往往是问题发生后临时应急解决,“头痛治头足痛治足”,致使现代化信息系统不能充分发挥在企业运行管理中应有的作用。
2.2 企业网络信息安全性难以保障
由于信息安全管理意识淡薄,部分企业没有专业的网络管理团队。现有网管人员维护、管理网联络信息技术没有保障,或者责任心不强。例如,民营生产销售企业由于操作不规范销售报表和潜在客户资料数据丢失现象时有发生;部分县级以上医院分科或多或少都存在体统停滞现象;中小型企业中财务资料的误删时有发生。虽然这些单位有的也具备系统维护应急预案,部分数据得到恢复,但依然给企业造成一定损失。
3 企业网络信息安全防范措施
3.1 建立系统安全检查制度
企业的规章制度要重视系统安全的保护,对重要信息系统的安全检查要建章立制,不能松懈。首先要对系统安全负责的团队人员构成和岗位职责进行明文规定。其次要确定具体的安全检查目标,如企业的基础网络是否完善、主服务器配置是否异常,对外门户网站防火墙是否坚固,数据中心的设置是否可靠,内部办公系统(包括财务、销售、服务等)更新是否正常等等。第三,信息安全检查规章制度中要具化检点内容,如安全管理保障系统方面,对岗位制度是否建全,人员负责是否落实,信息数据是否安全,应急响应是否稳妥等项目要做出详细检查记录。技术保障方面:服务器(包括操作系统、数据库、应用系统)的各项指标,网络设备和安全设备的各种配置,网站建设和终端等组织策略和运行维护等内容都要落实到检查实处。
3.2 加大企业网络信息安全的管理力度
第一,要增强网络信息管理人员的技术培训,使企业信息系统得到可靠的技术维护和管理,组件一只责任心强、分工明确、技术精湛的网管团队,以保障企业网络信息系统正常运转不出纰漏。
第二,提高企业核心机密资料的加密层次,在这方面要投入资金购买保密程度较有保障的计算机软件装备,防止黑客攻击和病毒感染。
第三,对企业信息管理和维护工作进行定期记录、责任到人,记录保护存档以备可查。
第四,要建立安全可靠的计算机数据异地备案和应急预案机制,有专门制定人员负责,定期检测数据,严格管理制度,以确保企业网络信息系统出现异常时得到有效维护和修复。
论文摘要:互联网技术给我们带来很大的方便,同时也带来了许多的网络安全隐患,诸如陷门、网络数据窃密、木马挂马、黑客侵袭、病毒攻击之类的网络安全隐患一直都威胁着我们。计算机网络信息管理工作面临着巨大的挑战,如何在计算机网络这个大环境之下,确保其安全运行,完善安全防护策略,已经成为了相关工作人员最亟待解决的问题之一。该文首先分析了计算机网络信息管理工作中的安全问题,其次,从多个方面就如何有效加强计算机网络信息安全防护进行了深入的探讨,具有一定的参考价值。
1概述
互联网技术给我们带来很大的方便,同时也带来了许多的网络安全隐患,诸如陷门、网络数据窃密、木马挂马、黑客侵袭、病毒攻击之类的网络安全隐患一直都威胁着我们。为了确保计算机网络信息安全,特别是计算机数据安全,目前已经采用了诸如服务器、通道控制机制、防火墙技术、入侵检测之类的技术来防护计算机网络信息安全管理,即便如此,仍然存在着很多的问题,严重危害了社会安全。计算机网络信息管理工作面临着巨大的挑战,如何在计算机网络这个大环境之下,确保其安全运行,完善安全防护策略,已经成为了相关工作人员最亟待解决的问题之一。
2计算机网络信息管理工作中的安全问题分析
计算机网络的共享性、开放性的特性给互联网用户带来了较为便捷的信息服务,但是也使得计算机网络出现了一些安全问题。在开展计算机网络信息管理工作时,应该将管理工作的重点放在网络信息的和访问方面,确保计算机网络系统免受干扰和非法攻击。
2.1安全指标分析
(1)保密性
通过加密技术,能够使得计算机网络系统自动筛选掉那些没有经过授权的终端操作用户的访问请求,只能够允许那些已经授权的用户来利用和访问计算机网络信息数据。
(2)授权性
用户授权的大小与其能够在计算机网络系统中能够利用和访问的范围息息相关,我们一般都是采取策略标签或者控制列表的形式来进行访问,这样做的目的就在于能够有效确保计算机网络系统授权的正确性和合理性。
(3)完整性
可以通过散列函数或者加密的方法来防治非法信息进入计算机网络信息系统,以此来确保所储存数据的完整性。
(4)可用性
在计算机网络信息系统的设计环节,应该要确保信息资源具有可用性,在突然遇到攻击的时候,能够及时使得各类信息资源恢复到正常运行的状态。
(5)认证性
为了确保权限所有者和权限提供者都是同一用户,目前应用较为广泛的计算机网络信息系统认证方式一般有两种,分别是数据源认证和实体性认证两种,这两种方式都能够得到在当前技术条件支持。
2.2计算机网络信息管理中的安全性问题
大量的实践证明,计算机网络信息管理中存在的安全性问题主要有两种类型,第一种主要针对计算机网络信息管理工作的可用性和完整性,属于信息安全监测问题;第二种主要针对计算机网络信息管理工作的抗抵赖性、认证性、授权性、保密性,属于信息访问控制问题。
(1)信息安全监测
有效地实施信息安全监测工作,可以在最大程度上有效消除网络系统脆弱性与网络信息资源开放性二者之间的矛盾,能够使得网络信息安全的管理人员及时发现安全隐患源,及时预警处理遭受攻击的对象,然后再确保计算机网络信息系统中的关键数据能够得以恢复。
(2)信息访问控制问题
整个计算机网络信息管理的核心和基础就是信息访问控制问题。信息资源使用方和拥有方在网络信息通信的过程都应该有一定的访问控制要求。换而言之,整个网络信息安全防护的对象应该放在资源信息的和个人信息的储存。
3如何有效加强计算机网络信息安全防护
(1)高度重视,完善制度
根据单位环境与特点制定、完善相关管理制度。如计算机应用管理规范、保密信息管理规定、定期安全检查与上报等制度。成立领导小组和工作专班,完善《计算机安全管理制度》、《网络安全应急预案》和《计算机安全保密管理规定》等制度,为规范管理夯实了基础。同时,明确责任,强化监督。严格按照保密规定,明确涉密信息录入及流程,定期进行安全保密检查,及时消除保密隐患,对检查中发现的问题,提出整改时限和具体要求,确保工作不出差错。此外,加强培训,广泛宣传。有针对性组织开展计算机操作系统和应用软件、网络知识、数据传输安全和病毒防护等基本技能培训,利用每周学习日集中收看网络信息安全知识讲座,使信息安全意识深入人心。 (2)合理配置,注重防范
第一,加强病毒防护。单位中心机房服务器和各基层单位工作端均部署防毒、杀毒软件,并及时在线升级。严格区分访问内、外网客户端,对机房设备实行双人双查,定期做好网络维护及各项数据备份工作,对重要数据实时备份,异地储存。同时,严格病毒扫描。针对网络传输、邮件附件或移动介质的方式接收的文件,有可能携带病毒的情况,要求接收它们之前使用杀毒软件进行病毒扫描。第二,加强强弱电保护。在所有服务器和网络设备接入端安装弱电防雷设备,在所有弱电机房安装强电防雷保护器,保障雷雨季节主要设备的安全运行。第三,加强应急管理。建立应急管理机制,完善应急事件出现时的事件上报、初步处理、查实处理、责任追究等措施,并定期开展进行预演,确保事件发生时能够从容应对。第四,加强“两个隔离”管理。即内、外网物理彻底隔离和通过防火墙进行“边界隔离”,通过隔离实现有效防护外来攻击,防止内、外网串联。第五,严格移动存储介质应用管理。对单位所有的移动存储介质进行登记,要求使用人员严格执行《移动存储介质管理制度》,杜绝外来病毒的入侵和泄密事件的发生。同时,严格安全密码管理。所有工作用机设置开机密码,且密码长度不得少于8位,定期更换密码。第六,严格使用桌面安全防护系统。每台内网计算机都安装了桌面安全防护系统,实现了对计算机设备软、硬件变动情况的适时监控。第七,严格数据备份管理。除了信息中心对全局数据定期备份外,要求个人对重要数据也定期备份,把备份数据保存在安全介质上。
(3)坚持以信息安全等级保护工作为核心
把等级保护的相关政策和技术标准与自身的安全需求深度融合,采取一系列有效措施,使等级保护制度在全局得到有效落实,有效的保障业务信息系统安全。
第一,领导高度重视,组织保障有力。单位领导应该高度重视信息化和信息安全工作,成立专门的信息中心,具体负责等级保护相关工作,统筹全局的信息安全工作。建立可靠的信息安全基础设施,重点强化第二级信息系统的合规建设,加强了信息系统的运维管理,对重要信息系统建立了灾难备份及应急预案,有效提高了系统的安全防护水平。
第二,完善措施,保障经费。一是认真组织开展信息系统定级备案工作。二是组织开展信息系统等级测评和安全建设整改。三是开展了信息安全检查活动。对信息安全、等级保护落实情况进行了检查。
第三,建立完善各项安全保护技术措施和管理制度,有效保障重要信息系统安全。一是对网络和系统进行安全区域划分。按照《信息系统安全等级保护基本要求》,提出了“纵向分层、水平分区、区内细分”的网络安全区域划分原则,对网络进行了认真梳理、合理规划、有效调整。二是持续推进病毒治理和桌面安全管理。三是加强制度建设和信息安全管理。本着“预防为主,建章立制,加强管理,重在治本”的原则,坚持管理与技术并重的原则,对信息安全工作的有效开展起到了很好的指导和规范作用。
(4)采用专业性解决方案保护网络信息安全
大型的单位,如政府、高校、大型企业由于网络信息资源庞大,可以采用专业性解决方案来保护网络信息安全,诸如锐捷网络门户网站保护解决方案。锐捷网络门户网站保护解决方案能提供从网络层、应用层到Web层的全面防护;其中防火墙、IDS分别提供网络层和应用层防护,ACE对Web服务提供带宽保障;而方案的主体产品锐捷WebGuard(WG)进行Web攻击防御,方案能给客户带来的价值:
防网页篡改、挂马
许多大型的单位作为公共信息提供者,网页被篡改、挂马将造成不良社会影响,降低单位声誉。目前客户常用的防火墙、IDS/ IPS、网页防篡改,无法解决通过80端口、无特征库、针对动态页面的Web攻击。WebGuard DDSE深度解码检测引擎有效防御SQL注入、跨站脚本等。
高性能,一站式保护各院系网站
对于大型单位客户,往往拥有众多部门,而并非所有大型单位都将各部门网站统一管理。各部门网站技术运维能力相对较弱,经常成为攻击重点。WebGuard利用高性能多核架构,提供并行处理。支持在网络出口部署,一站式保护各部门网站。
“零配置”运行,简化部署
WebGuard针对用户,集成默认配置模板,支持“零配置”运行。一旦上线,即可防护绝大多数攻击。后续用户可以根据网络情况,进行优化策略。避免同类产品常见繁琐配置,毋须客户具备专业的安全技能,即可拥有良好的体验。
满足合规性检查要求
继08年北京奥运、09年国庆60周年后,10年上海世博会、广州亚运会先后举行。在重大活动前后,各级主管单位和公安部门,纷纷发文,要求针对网站安全采取措施。WebGuard恰好能很好的满足合规性检查的需求,帮助用户顺利通过检查。
4结束语
新时期的计算机网络信息管理工作正向着系统化、集成化、多元化的方向发展,但是网络信息安全问题日益突出,值得我们大力关注,有效加强计算机网络信息安全防护是极为重要的,具有较大的经济价值和社会效益。
参考文献
[1]段盛.企业计算机网络信息管理系统可靠性探讨[J].湖南农业大学学报:自然科学版,2000(26):134-136.
[2]李晓琴.张卓容.医院计算机网络信息管理的设计与应用[J].医疗装备,2003.(16):109-113.
[3]李晓红.妇幼保健信息计算机网络管理系统的建立与应用[J].中国妇幼保健,2010(25):156-158.
[4]罗宏俭.计算机网络信息技术在公路建设项目管理中的应用[J].交通科技,2009.(1):120-125.
[5] Bace Rebecca.Intrusion Detection[M].Macmillan Technical Publishing,2000.
1网络经济对医院审计带来的积极影响
1.1有利于加快医院审计信息化建设无论是什么性质的企业,信息化技术的优先发展都会为企业带来不可估量的利益,在医院审计管理过程中同样如此。医院建设要发展壮大,就必须要引用信息化技术,开阔信息化道路,引进先进技术,加快医院审计信息化速度。信息化审计管理有效的减少管理成本的投入,有助于信息资源有效融合,推动信息数据数字化管理,有可靠的数据库作支撑,便于数据的管理与控制,有健全的信息维护系统,保障信息数据不失真,可长久使用;信息化统计管理还减少了重复劳动率,操作简单易懂,便于控制,缩短复杂查找数据所用时间,提高了信息数据利用率,进而是医院管理变得更加有序化;此外,也为医疗设备的采购过程提供了便利条件,有选择、有计划的进行有效采购设备对于一个规模庞大的医院来讲是尤为重要的,设备的昂贵程度可想而知,设备的信息化的管理为医院节省了不少开支,功效也是有目共睹的。
1.2有利于实现医院审计目标,为医院审计工作的科学管理提供依据医院审计管理者可根据对医疗信息统计的数据掌握,判断医院的入院患者人数、出院人数、手术人数、转院人数、病人死亡人数以及医生在院人数等等,对整个医院的活动进行合理管理和控制,做好医院管理工作,更好的为病人服务,进而实现医院审计目标,提高审计领导者的正确决策效率。审计的精确性为领导做出的正确决策提供了最有利的依据,确保医院发展计划可行,临床科室设置科学合理,专业项目建设得到完善,进而提高医院的社会经济效益。
1.3有利于提升医院内部审计质量对于市医院在财务审计管理中存在的弊端,要采取一定的措施进行有效解决,要有规范的操作流程,利用网络经济管理有效的提升了医院内部审计的质量。在其管理控制中,要对具体部门要有一定的监督体系,确保医院审计管理工作有效落实。出纳是否做好现金出入明细账,动用现金的正规手续能否都与现金的实时走账相符,会计的核算与出纳的现金账目能否及时捋顺,定期对医院现金进行核算,最好是按每周或者是每月对医院现金进行盘库,这样能及时掌控现金的动向,及时核对现金账目与票据能否相符,这些都要在计算机网络系统中有所显示,便于日后对具体问题进行审计分析,有依据可循。
2网络经济对医院审计的管理策略
2.1运用计算机辅助审计方法
2.1.1对医院日常会计信息的审计当前的医院审计要求审计工作人员应对会计信息给予更多的分析,并利用计算机辅助审计来完成具体工作。在医院内部审计控制管理中,很多审计人员专业技能不够,对医院内部审计工作知识了解较少,业务技能不熟练,不能专业的将医院财务状况反馈给管理层人员,因此,在医院内部控制管理中要加强审计人员对计算技术的运用,对审计人员进行专业技能培训,定期对会计人员业务能力进行考察,深化审计人员运用计算机技术处理审计工作的能力。审计人员对计算机技术有了一定的掌握,使用高效的审计软件,还能在很大程度上提高医院审计效率,节省审计时间,简化繁琐的审计流程;其次,也可以借助会计电算化自带的一些功能来完成审计工作。如审计人员可以利用会计电算化中的查询过滤功能,将某些明细账反映的医疗服务金额在指定数额以上的全部记录显示出来,借此来进行分析性复核;再次,使用办公自动化软件来辅助审计工作。如可借助EXCEL表格对材料成本差异核算进行复核。
2.1.2计算机辅助审计信息管理与传递利用网络信息平台,实现资源共享,提高审计数据真实效率。过去我们往往都是通过纸质载体形式将病例及信息资料传送到患者以及义务人员手中,在很大程度上增加了医院的成本费用,还浪费人力,在网络信息平台开通后,医务人员间可以通过网络进行资源共享,完成信息交流工作,也可以将病史资料以电子形式传送到病人手中,大大节省了时间和金钱,提高工作效率。
2.1.3对医院审计管理要具有一定的针对性所谓针对性就是要抓住事物的重点,审计的重点在于一个好的技巧,当然一个好的技巧正是这些专业的统计分析者通过自己的专业知识、敏锐的洞察力及自身的综合素质才能总结出来的。审计的技巧要充分体现出当前的国家经济政策、市场动向、社会主义公有制经济的本质出发点、国家关于经济方面的法律法规新动向以上是大的方向,对于医院管理中的审计分析来说,要反映出医院领导者最为关注的问题。
2.2使用高效的医院审计软件随着网络信息时代的到来,传统的审计方法以不能满足医院管理审计分析的需要,对审计信息的统计分析也不只是单单的进行处理、对照就能满足医院管理的本质要求。在当今社会随着网络的普遍应用,医院审计工作作为一个新兴审计分析工具逐渐的代替了人工审计方法,取代了费时费力的人工审计环节。它不仅增强了医院管理的竞争力也大大的促进了社会的发展要求,所以加强管理中的信息网络管理是很有必要的。是实现资源共享的有效途径,也是医院自身发展的必然需求。此外,审计人员使用高效的审计软件,也能在很大程度上提高医院审计效率,节省审计时间,简化繁琐的审计流程。
2.3建立医院内部审计信息系统建立医院内部审计信息系统,就要以数据安全管理为原则。一个完备的数据安全管理保障体系应当有科学的安全管理原则,安全管理的基本原则主要包括:一是专人负责原则。即针对每一项与医院审计数据信息安全有关的活动都必须有专门人员负责;二是职责分离原则。不同工作职责应当由不同人员负责,保障各机构根据自身的特点制定一系列的审计管理规章制度,并对违反规定的采取惩戒措施等。三是数据库系统。建立审计信息数据备份机制,应对安全领域突发事件,防止系统发生故障时文件的丢失。目前在许多软件中可以将文件设置为“只读”状态,在这种状态下,用户只能从计算机上读取信息,而不能对其做任何修改,在计算机外存储器中,只读光盘(CD-ROM)只能供使用者读出信息而不能追加或擦除信息,一次写入式光盘(WORM)可供使用者一次写入多次读出,可以追加记录但不能擦除原来的信息。这种不可逆式记录介质可以有效地防止用户更改电子文件内容,保持审计数据的原始性和真实性。此外,医院内部审计系统的有效管理,还要加强医院审计人员以及每个工作人员的风险意识,树立风险管理观念,风险管理是审计数据真实有效管理不可分割的组成部分,树立风险管理观念,有助于唤起风险意识,有效地提示所有参与生成,管理和使用医院网络系统的人避免风险事故,承担风险责任,逐步形成与审计管理规律相适应的管理观念,同时建立风险管理体系,明确风险应对重点,有助于使审计数据得到全方位、安全、有效的保护。
2.4医院会计电算化信息系统审计的管理做好医院会计电算化信息管理审计网络系统的安全隔离工作,在医院审计数据与互联网之间建立起一道信息安全屏障,安装主流防火墙系统,在这方面现在主要技术有防火墙技术,这是一种访问控制技术,它是在某个机构的网络和外界风格之间设置障碍,阻止对本机构信息资源的非法访问,也可以阻止机要信息、专利信息从该机构的网络上非法输出。防火墙好像是网络上的一道关卡,它可以控制进、出两个方向的通信。防火墙的安全保障能力仅限于网络边界,它通过网络通信临控系统监测所有通过防火墙的数据流,凡符合事先制定的网络安全规定的信息允许通过,不符合的就拒之墙外,使被保护网络的信息和结构不受侵犯,以保证网络系统的安全,信息安全是一个动态的系统工程,各类组织机构应按照文件信息安全的控制要求,对构建的电子文件信息安全保障体系加强维护,加强运作力度,充分发挥体系本身的各项功能,同时,医院审计管理信息安全保障体系的建立是一个目标叠加的过程,是在不断发展变化的技术环境中进行的,因而也是一个动态的、闭环的风险管理过程。组织应及时发现体系策划和执行中存在的问题,找出问题根源采取纠正措施,实时加以调整和改进,以适应变化了的情况,达到进一步完善数据安全保障体系的目的。
关键词:医院信息管理系统;病毒
1、医院信息系统的病毒及其危害
1.1 概述我院信息管理系统及病毒给医院带来的危害
随着信息技术的高速发展,医院信息系统发展速度也极为迅速。国外发达国家已在80年代建立了大型医院信息管理系统(HIS),目前已实施或正在实施医学影像存档与通信系统(PACS)。自20世纪90年代初,我国的各级医疗机构逐步将计算机作为基本工具,引入到医院的信息管理中。从单机管理到网络化管理,从自行开发软件到各类软件的商品化,使医院计算机信息管理日趋科学和完善。计算机网络化的医院信息系统(HIS)也将成为现代化医院运营必不可少的基础设施,是实现医院基本现代化的必备条件之一。
我院医院信息管理系统是由挂号系统、医生工作站、护士工作站、收费管理系统、药房管理系统、结构化电子病历、自动检验科系统、检查登记报告系统、影像系统、病案系统、办公自动化系统等组成。投入运行后几大系统纵横交错,构成了庞大的计算机网络系统。我院网络系统覆盖全院的各个部门,涵盖病人来院就诊的各个环节及信息,将近1000台计算机同时运行,支持各方面的管理,成为医院开展医疗服务的业务平台。
医院信息系统不仅直接与病人的诊疗过程息息相关,而且直接关系到医院财务收支及成本核算,如为病人进行治疗的电脑坏掉会耽误病人的治疗,门急诊系统中断会导致医院停业,而护士及医生工作站的终端会影响到对病人的正常诊疗。医院业务的正常运行越来越依赖于计算机系统[4]。医院信息系统的安全性直接关系到医院医疗工作的正常运行,一旦网络瘫痪或数据丢失,将会给医院和病人带来巨大的灾难和难以弥补的损失[1],因此保证医院信息系统的安全将是很重要的工作,防治病毒入侵乃是重中之重。
1.2 什么是计算机病毒
计算机病毒在《中华人民共和国计算机信息系统安全保护条例》中被明确定义,病毒指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。
1.3 计算机病毒的主要危害
不同的计算机病毒有不同的破坏行为,其中有代表性的行为如下:
1.3.1 破坏主板BIOS内容,使计算机无法正常启动。
1.3.2 攻击硬盘的主引导扇区、BOOT扇区、FAT表、文件目录。影响系统的正常引导。一般来说,攻击系统数据区的病毒是恶性病毒,受损的数据不易恢复。
1.3.3 攻击文件,包括删除、修改软盘、硬盘及网络上可执行文件或数据文件的内容,在系统中产生无用的新文件等等。
1.3.4 抢占系统资源,内存是计算机的重要资源,大多数病毒在动态下都是常驻内存的,其攻击方式主要有占用大量内存、改变内存总量、禁止分配内存等,这就必然抢占一部分系统资源,导致一些较大的程序难以运行。
1.3.5干扰系统运行,除占用内存外,病毒还抢占中断,干扰系统运行。计算机操作系统的很多功能是通过中断调用技术来实现的。病毒为了传染激发,总是修改一些有关的中断地址,在正常中断过程中加入病毒的“私货”,从而干扰了系统的正常运行。
1.3.6影响计算机运行速度,病毒激活时,其内部的时间延迟程序启动,在时钟中纳入了时间的循环计数,迫使计算机空转,计算机速度明显下降。
1.3.7窃取用户隐私、机密文件、账号信息等。如今已是木马大行其道的时代,据统计如今木马在病毒中已占七成左右。而其中大部分都是以窃取用户信息,以获取经济利益为目的,如窃取用户资料,网银账号密码等。一旦这些信息失窃,将给用户带来巨大经济损失。
2、医院信息管理系统病毒的防治措施
在计算机病毒出现的初期,说到计算机病毒的危害,往往注重于病毒对信息系统的直)接破坏作用,比如格式化 硬盘、删除文件数据等,并以此来区分恶性病毒和良性病毒。其实这些只是病毒劣迹的一部分,随着计算机应用的发 展,人们深刻地认识到凡是病毒都可能对计算机信息系统造成严重的破坏。
2.1 计算机中毒的表征
2.1.1 电脑可以开机,但启动到某一步的时候自动重启。可能是病毒破坏了系统文件;也可能是系统文件被病毒感染后,被杀毒软件删除了。
2.1.2 电脑运行速度明显降低以及内存占有量减少,虚拟内存不足或者内存不足。如果虚拟内存不足可能是病毒占用,也可能是设置不当。若非内存太小,则电脑中毒的可能性很大。
2.1.3 Windows出现异常的错误提示信息,操作系统本身,除了用户关闭或者程序错误以外,是不会出现错误汇报的,因此,如果出现这种情况,很可能是中了病毒。
2.1.4 杀毒软件的实时监控程序无法自动运行了,手动启动也不行。
2.1.5 系统时间被更改,且无法改正过来(改了回头再看的时候,又变回去了)。
2.1.6 经常自动弹出网页,计算机屏幕上出现异常显示。
2.1.7 经常出现非法操作,特别是运行IE浏览器的时候。
2.1.8 主页被篡改了,而且改不回来(无法更改或改了又变回去)。
2.1.9 注册表无法使用,某些键被屏蔽、目录被自动共享等。
2.1.10 无法安装杀毒软件或安装后无法运行。
2.1.11 文件大小发生改变,丢失文件或文件损坏。
2.1.12 硬盘指示灯狂闪,此时就要检查所运行的程序是否占用系统资源太多或者是否感染了病毒。
2.2 如何诊断中毒
2.2.1 如发现电脑运行速度过慢,则先调出windows任务管理器查看系统运行的进程,找出系统资源占用较大并且名字不熟悉的进程并记下其名称(这需要经验),暂时不要结束这些进程,因为有的病毒或非法的进程可能在此没法结束。点击性能查看CPU和内存的当前状态,如果CP U的利用率接近100%或内存的占用值居高不下,此时电脑中毒的可能性是95%。
2.2.2 查看windows当前启动的服务项, 由“控制面板”的“管理工具”里打开“服务”。看右栏状态为“启动”,启动类别为“自动”项的行;一般而言,正常的windows服务,基本上是有描述内容的(少数被骇客或蠕虫病毒伪造的除外),此时双击打开认为有问题的服务项查看其属性里的可执行文件的路径和名称。
2.2.3 Windows XP中运行msconfig查看是否有非法的启动项,或运行注册表编辑器,查看都有那些程序与windows一起启动。主要看
Hkey_Local_MachineSoftware MicroSoftWindowsCurrentVersionRun和后面几个RunOnce等,查看窗体右侧的项值,随着经验的积累,可以轻易的判断病毒的启动项。
2.2.4 取消隐藏属性,查看系统文件夹windowssystem32,如果打开后文件夹为空,表明电脑已经中毒;打开system32 后,可以对图标按类型排序,看有没有流行病毒的执行文件存在。顺便查一下文件夹Tasks,wins,drivers.目前有的病毒执行文件就藏身于此。
2.2.5 使用杀毒软件判断是否中毒,如果中毒,杀毒软件的实时监控程序会被病毒程序自动终止,并且手动升级失败。
2.3 如何查杀病毒
2.3.1 在注册表里删除随系统启动的非法程序,然后在注册表中搜索所有该键值并删除。当成系统服务启动的病毒程序,会在
Hkey_Local_MachineSystemControlSet001services
和controlset002services里藏身,找到之后一并删除。
2.3.2 停止有问题的服务,改自动为禁止。
2.3.3 重新启动电脑,点F8进入“带网络的安全模式”。目的是不让病毒程序启动,又可以对Windows升级打补丁和对杀毒软件升级。
2.3.4 搜索病毒的执行文件,手动删除,也可以下载该病毒的专杀工具进行杀毒。
2.3.5 对Windows升级打补丁和对杀毒软件升级。
2.3.6 关闭不必要的系统服务。
2. 3.7 对Windows升级打补丁和对杀毒软件升级完成后用杀毒软件对系统进行全面的扫描,把病毒一网打尽。
2.3.8 所有工作完成后,重新启动计算机,完成所有操作。
2.4 我院对计算机病毒的防范措施
我院根据自身网络的实际情况确定安全管理范围,制订有关网络操作使用规程和人员出入机房管理制度,制定网络系统的维护制度和应急措施等,建立适合自身的网络安全管理策略。网络信息安全是一个整体的问题,需要从管理与技术相结合的高度,制定与时俱进的整体管理策略,并切实认真地实施这些策略,才能达到提高网络信息系统安全性的目的。在网络安全实施的策略及步骤上考虑以下五个方面的内容:制定统一的安全策略、购买相应的安全产品实施安全保护、监控网络安全状况(遇攻击时可采取安全措施)、主动测试网络安全隐患、生成网络安全总体报告并改善安全策略。从安全管理上,建立和完善安全管理规范和机制,切实加强和落实安全管理制度,加强安全培训,增强医务人员的安全防范意识以及制定网络安全应急方案等。具体措施如下:
2.4.1 树立病毒防范意识,从思想上重视计算机病毒。
2.4.2 内外网隔离。内网就是承载医院信息管理系统业务的网络,绝对不可以与公共网络连接。
2.4.3 安装网络版杀毒软件,定时升级?,保证内网客户端所有电脑的病毒库都及时更新到最新版本[1]。对网络进行实时监控。由于我院与北京市医保中心要进行网上实时结算,为了防止外来病毒的入侵,医院又购置了防火墙对所有进出数据进行过滤。
2.4.4 我院内网电脑统一安装安全管理软件,内网电脑一律不安装光驱、软驱,USB接口禁止连接存储器,更不准擅自安装光驱、软驱及更改硬件设施。
2.4.5 经常更新操作系统漏洞补丁,对操作系统和数据库系统进行合理的安全策略配置。
2.4.6 经常备份重要数据,要定期与不定期地对磁盘文件进行备份,特别是
一些比较重要的数据资料,以便在感染病毒导致系统崩溃时可以最大限度地恢复数据,尽量减少可能造成的损失。
2.4.7 安装应急服务器,实时备份数据服务器内容,一旦系统遭受病毒破坏
启动不了时,马上更换到应急服务器上,让医院信息系统能正常运行。
2.4.8 每台内网电脑都安装一键还原软件,备份新安装好的干净系统,并要求系统盘下不能保存文件。如电脑不幸感染病毒不能进入系统,则直接使用一键还原软件还原到干净系统后查杀病毒。
2.4.9 定期巡检所有内网电脑,查杀病毒,磁盘清理,让电脑处于最佳状态,更好的为临床服务。
2.4.10 建立规章制度, 制定工作站管理制度,落实责任,如导致网络感染病毒或损坏,根据绩效考核按情节轻重进行处理,并且对客户端用户的密码强调专人专用。预防内部犯罪[1]。
3、医院信息管理系统病毒防治中需要重点解决的问题
3.1 以计算机病毒、黑客攻击等为代表的安全事件频繁发生,危害日益严重病毒泛滥、系统漏洞、黑客攻击等诸多问题,已经直接影响到医院的正常运营。目前,多数网络安全事件都是由脆弱的用户终端和“失控”的网络使用行为引起的。在医院网中,用户终端不及时升级系统补丁和病毒库的现象普遍存在;私设服务器、私自访问外部网络、滥用政府禁用软件等行为也比比皆是。“失控”的用户终端一旦接入网络,就等于给潜在的安全威胁敞开了大门,使安全威胁在更大范围内快速扩散。保证用户终端的安全、阻止威胁入侵网络,对用户的网络访问行为进行有效的控制,是保证医院网络安全运行的前提,也是目前医院网络安全管理急需解决的问题。
3.2 信息安全意识不强,安全制度不健全
从许多安全案例来看,很多医院要么未制定安全管理制度,要么制定后却得不到实施。医院内部员工计算机知识特别是信息安全知识和意识的缺乏是医院信息化的一大隐患。加强对员工安全知识的培训刻不容缓。
4、总结:
医院信息管理系统现在已经成为医院开展业务的主要平台,保证医院信息系统的正常运行是我们信息中心的职责所在。对于医院信息管理系统来讲对计算机病毒的防范远甚于查杀病毒,因此建立一套严密而系统的管理和防范体系是十分必要的,我们信息中心也是在工作中不断摸索、积累经验,通过技术防治和管理防范相结合,建立有效、健全的安全防御体系,以及积极主动的防御理念和中央控管的管理机制保证医院的信息系统安全,推进信息化建设,以提高医院的服务水平和核心竞争力。
参考文献:
[1]曹宏伟,彭东亮,邱 景,杨 扬? 医院信息系统安全管理与防范 影像学与特种医学 200081
[2]韩莜卿.计算机病毒分析与防范大全[M].北京:电子工业出版社.2006